저는 우리 서버(Ubuntu)의 sudo 사용자입니다. 우리 서버에는 또 다른 sudo 사용자가 있으므로 우리 둘 다 루트로 다른 디렉터리에 액세스할 수 있습니다. 다른 sudo 사용자와 공유하고 싶지 않은 개인 파일이 있습니다. 그렇게 할 수 있는 방법이 있나요?
답변1
다른 sudo 사용자와 공유하고 싶지 않은 개인 파일이 있습니다. 그렇게 할 수 있는 방법이 있나요?
유일한 방법은 해당 파일을 해당 시스템에 저장하지 않는 것입니다.
귀하의 서버이고 다른 사용자가 자신의 sudo 액세스를 제거한다는 것을 신뢰하지 않는 경우. 그렇지 않으면 개인 데이터가 해당 시스템에 저장되어서는 안 됩니다. 귀하가 유럽 연합에 거주하는 경우: 새로운 개인 정보 보호법은 귀하가 해당 기계의 소유자에게 통지하고 서면 동의를 받지 않고 귀하가 소유하지 않은 기계에 개인 데이터를 저장하는 것을 허용하지 않습니다.
- 제한이 없는 sudo 사용자는 실행 취소 및 수행할 수 있는 모든 작업을 수행하고 실행 취소할 수 있습니다.
- 파일이나 파일이 포함된 디렉터리를 암호화하면 보안에 대한 잘못된 인식만 갖게 됩니다.
- 비밀번호가 필요한 원격 시스템(예: 암호화된 USB 드라이브 또는 마운트할 비밀번호, gdrive 또는 SSH 연결)에서 액세스하는 경우에도 마찬가지입니다.
활성화하는 것은 매우 쉽습니다.지키는 개파일을 다른 위치로 복사하는 것입니다. 그리고 당신 자신도 그런 일이 일어나는 것을 결코 눈치 채지 못할 것입니다. 그리고 입력하는 비밀번호를 포착하기 위해 키 로거를 설치하는 것이 훨씬 더 쉽습니다.
답변2
다른 sudo 사용자로부터 파일을 숨길 수는 없지만 개인 파일을 서버에 업로드하기 전에(!) 암호화할 수 있습니다. 개인 파일로 작업하려면(예: 편집) 다운로드한 다음 암호를 해독해야 합니다. 작업을 마친 후에는 다시 암호화하고 업로드해야 합니다.
순서가 중요하며 아마도 가장 편리한 방법은 아니지만 작동합니다. 개인(암호화된) 파일을 서버에 저장하고 다른 sudo 사용자가 개인 콘텐츠를 읽지 못하게 할 수 있습니다.
중요: 각 암호화/암호 해독 프로세스는 오프라인에서만 수행해야 합니다(정확히 말하면 서버에서는 수행하지 않음). 귀하의 서버에서 이 작업을 수행하면 다른 sudo 사용자가 프로세스를 기록하고 결국 귀하의 파일에 액세스할 수 있습니다.
다양한 암호화 방법에는 다양한 장단점이 있으므로 답변을 짧게 유지하기 위해 다음 두 가지 도구만 제안하고 싶습니다.
GPG암호 문구 등을 사용하여 대칭 암호로 파일 암호화를 제공하며 매우 간단합니다.
암호 설정비밀번호로 보호된 LUKS 컨테이너를 생성하고 이를 일반적인 루프 장치처럼 사용할 수 있습니다. 주의 사항: 온라인으로 LUKS 컨테이너를 잠금 해제하고 싶지는 않습니다(정확하게 말하면 서버에서). 그렇지 않으면 다른 sudo 사용자가 잠금을 해제할 수 있습니다.LUKS 마스터 키를 추출하고 이를 사용하여 새 키를 추가합니다.(URL을 제공해 주신 @Rinzwind에게 감사드립니다)
말할 필요도 없이 강력한 비밀번호를 선택하는 것이 항상 좋으며, 물론 다른 sudo 사용자가 암호화된 파일을 다운로드하고 무차별 대입을 사용하여 암호 해독을 시도할 수 있습니다.